無(wú)序、散落的多個(gè)阿里云賬號(hào)不便于集中管理，企業(yè)需要進(jìn)一步做精細(xì)化管控。

企業(yè)可以采用云企業(yè)網(wǎng)CEN（Cloud Enterprise Network）將多個(gè)賬號(hào)間的專有網(wǎng)絡(luò)VPC（Virtual Private Cloud）進(jìn)行連接，以實(shí)現(xiàn)多賬號(hào)間的網(wǎng)絡(luò)互通。但隨著業(yè)務(wù)復(fù)雜度的增加，會(huì)面臨如下的新問(wèn)題：

• 分散配置導(dǎo)致無(wú)法進(jìn)行網(wǎng)絡(luò)集中運(yùn)維

  企業(yè)網(wǎng)絡(luò)架構(gòu)是一張經(jīng)過(guò)規(guī)劃的大網(wǎng)，當(dāng)網(wǎng)絡(luò)設(shè)施分散在每個(gè)業(yè)務(wù)賬號(hào)之下時(shí)，企業(yè)網(wǎng)絡(luò)運(yùn)維人員很難做到網(wǎng)絡(luò)的集中控制。

• 重復(fù)網(wǎng)絡(luò)資源配置導(dǎo)致成本增加

  在每個(gè)賬號(hào)內(nèi)進(jìn)行VPC的配置，使得企業(yè)的配置維護(hù)成本和實(shí)例費(fèi)用成本都在增加。

• VPC數(shù)量增多導(dǎo)致網(wǎng)絡(luò)復(fù)雜度提升

  為了滿足企業(yè)的業(yè)務(wù)需要，VPC數(shù)量會(huì)不斷攀升，隨之而來(lái)的是網(wǎng)絡(luò)復(fù)雜度、管理難度和配額（例如：CEN可掛載的VPC數(shù)量限制）等問(wèn)題。

阿里云資源目錄是面向企業(yè)提供的一套多級(jí)資源和賬號(hào)關(guān)系管理服務(wù)。企業(yè)可以基于自身的組織結(jié)構(gòu)或業(yè)務(wù)形態(tài)，在資源目錄中構(gòu)建目錄結(jié)構(gòu)，將企業(yè)的多個(gè)賬號(hào)分布到這個(gè)目錄結(jié)構(gòu)中的相應(yīng)位置，從而形成資源間的多層級(jí)關(guān)系。企業(yè)可依賴設(shè)定的組織關(guān)系進(jìn)行資源的集中管理，滿足企業(yè)資源在財(cái)資、安全、審計(jì)及合規(guī)方面的管控需要。更多信息，請(qǐng)參見(jiàn)資源目錄。

在資源目錄內(nèi)，企業(yè)可以使用阿里云提供的資源共享服務(wù)，將一個(gè)賬號(hào)下的指定資源共享給一個(gè)或多個(gè)目標(biāo)賬號(hào)使用，通過(guò)共享單元建立成員間的共享關(guān)系。更多信息，請(qǐng)參見(jiàn)資源共享概述。

企業(yè)可以基于資源共享機(jī)制，在資源目錄內(nèi)，將一個(gè)成員的VPC交換機(jī)（vSwitch）共享給其他成員使用，使多個(gè)成員在一個(gè)集中管理、共享的VPC內(nèi)創(chuàng)建云資源，例如：云服務(wù)器ECS、負(fù)載均衡SLB、云數(shù)據(jù)庫(kù)RDS等。資源所有者和資源使用者在同一VPC內(nèi)創(chuàng)建的云資源默認(rèn)私網(wǎng)互通。更多信息，請(qǐng)參見(jiàn)共享VPC概述。

共享VPC的具體實(shí)現(xiàn)細(xì)節(jié)如下：

• 多賬號(hào)共享同一個(gè)交換機(jī)

  企業(yè)可將VPC的交換機(jī)在多賬號(hào)間進(jìn)行共享，不用為每個(gè)賬號(hào)單獨(dú)配置VPC，極大減少了VPC的使用數(shù)量。

  
• 資源所有者與資源使用者的權(quán)限

  資源所有者將交換機(jī)共享給資源使用者后，資源所有者與資源使用者對(duì)共享交換機(jī)及共享交換機(jī)內(nèi)云資源的操作權(quán)限如下表所示。

  角色	支持的操作	不支持的操作
  資源所有者	支持創(chuàng)建、查看、修改、刪除共享交換機(jī)中的由自身創(chuàng)建的資源。 支持查看資源使用者在共享交換機(jī)中所創(chuàng)建的資源屬性，當(dāng)前只允許查看彈性網(wǎng)卡的資源屬性，僅限： 實(shí)例ID。 私網(wǎng)IP地址。 資源所屬賬號(hào)。	不支持修改、刪除資源使用者在共享交換機(jī)中創(chuàng)建的任何資源。
  資源使用者	當(dāng)交換機(jī)處于共享狀態(tài)時(shí)，資源使用者支持在共享交換機(jī)中創(chuàng)建、修改、刪除云資源。	當(dāng)交換機(jī)處于共享狀態(tài)時(shí)，資源使用者不支持查看、修改、刪除共享交換機(jī)中其他賬號(hào)（包含資源所有者和資源使用者）的任何資源。
  	當(dāng)交換機(jī)處于取消共享狀態(tài)時(shí)，資源使用者支持繼續(xù)使用共享交換機(jī)中由自身創(chuàng)建的已有資源，也支持查看、修改、刪除共享交換機(jī)中由自身創(chuàng)建的已有資源。	當(dāng)交換機(jī)處于取消共享狀態(tài)時(shí)，資源使用者不支持查看與共享交換機(jī)相關(guān)聯(lián)的資源（例如VPC、路由表、私網(wǎng)網(wǎng)段、網(wǎng)絡(luò)ACL），也不支持在已經(jīng)取消共享的交換機(jī)中創(chuàng)建資源。

  資源所有者與資源使用者對(duì)其它網(wǎng)絡(luò)資源的操作權(quán)限如下表所示。

  網(wǎng)絡(luò)資源	資源所有者可執(zhí)行的操作	資源使用者可執(zhí)行的操作
  VPC	全部操作權(quán)限。	僅支持查看共享給自己的交換機(jī)所屬的VPC。
  交換機(jī)	全部操作權(quán)限（包含開啟和關(guān)閉交換機(jī)的IPv6功能）。 說(shuō)明 如果要?jiǎng)h除交換機(jī)，請(qǐng)確保交換機(jī)已取消共享，且該交換機(jī)中的資源（包括資源所有者和資源使用者創(chuàng)建的資源）已全部刪除。	查看共享的交換機(jī)。 在共享的交換機(jī)內(nèi)創(chuàng)建、修改、刪除云資源。
  路由表	全部操作權(quán)限。	僅支持查看共享給自己的交換機(jī)綁定的路由表以及路由條目。
  網(wǎng)絡(luò)ACL	全部操作權(quán)限。	支持在共享給自己的交換機(jī)內(nèi)綁定、解綁、查看網(wǎng)絡(luò)ACL。
  網(wǎng)段	查看VPC及VPC內(nèi)所有交換機(jī)的網(wǎng)段。	僅支持查看共享給自己的交換機(jī)的網(wǎng)段。
  流日志	支持創(chuàng)建VPC或交換機(jī)粒度的流日志，對(duì)資源使用者的交換機(jī)下的彈性網(wǎng)卡生效。 支持創(chuàng)建彈性網(wǎng)卡粒度的流日志，僅對(duì)資源所有者的彈性網(wǎng)卡生效。	支持創(chuàng)建彈性網(wǎng)卡粒度的流日志，僅對(duì)資源所有者的彈性網(wǎng)卡生效。
  NAT網(wǎng)關(guān)	公網(wǎng)NAT網(wǎng)關(guān)和VPC NAT網(wǎng)關(guān)的全部操作權(quán)限。 說(shuō)明 交換機(jī)中的資源（包括資源所有者和資源使用者創(chuàng)建的資源）可以通過(guò)公網(wǎng)NAT網(wǎng)關(guān)與互聯(lián)網(wǎng)通信。 公網(wǎng)NAT網(wǎng)關(guān)僅支持綁定資源所有者的彈性公網(wǎng)IP。	無(wú)操作權(quán)限。
  VPN網(wǎng)關(guān)	全部操作權(quán)限。 說(shuō)明 交換機(jī)中的資源（包括資源所有者和資源使用者創(chuàng)建的資源）可以通過(guò)VPN網(wǎng)關(guān)與VPC外部網(wǎng)絡(luò)互通。	無(wú)操作權(quán)限。
  云企業(yè)網(wǎng)	全部操作權(quán)限。 說(shuō)明 交換機(jī)中的資源（包括資源所有者和資源使用者創(chuàng)建的資源）可以通過(guò)云企業(yè)網(wǎng)與VPC外部網(wǎng)絡(luò)互通。	無(wú)操作權(quán)限。
  VPC對(duì)等連接	全部操作權(quán)限。 說(shuō)明 交換機(jī)中的資源（包括資源所有者和資源使用者創(chuàng)建的資源）可以通過(guò)VPC對(duì)等連接與VPC外部網(wǎng)絡(luò)互通。	無(wú)操作權(quán)限。
  標(biāo)簽	共享行為不影響資源所有者為資源配置的標(biāo)簽。 資源所有者將交換機(jī)共享給資源使用者后，資源所有者與資源使用者都可以為各自的資源配置標(biāo)簽，且標(biāo)簽互不可見(jiàn)也互不影響。當(dāng)共享交換機(jī)取消共享后，系統(tǒng)會(huì)刪除資源使用者在該共享交換機(jī)上配置的標(biāo)簽。

• 安全隔離

  企業(yè)將單個(gè)VPC中的不同交換機(jī)共享給不同賬號(hào)后，網(wǎng)絡(luò)是默認(rèn)連通的。在某些場(chǎng)景下，企業(yè)希望將不同的交換機(jī)進(jìn)行隔離。企業(yè)可通過(guò)以下兩種方式進(jìn)行隔離：

  • 網(wǎng)絡(luò)ACL：實(shí)現(xiàn)跨交換機(jī)級(jí)別的訪問(wèn)控制。
  • 安全組：實(shí)現(xiàn)實(shí)例級(jí)別的訪問(wèn)控制，并且支持跨賬號(hào)安全組的互相引用。
  
  說(shuō)明 使用安全組設(shè)置兩個(gè)實(shí)例間禁止訪問(wèn)規(guī)則實(shí)現(xiàn)網(wǎng)絡(luò)隔離，該方法主要用以彌補(bǔ)在相同交換機(jī)內(nèi)的實(shí)例之間無(wú)法采用網(wǎng)絡(luò)ACL進(jìn)行網(wǎng)絡(luò)隔離的缺失。當(dāng)然，企業(yè)仍然可以使用安全組跨賬號(hào)引用能力，在安全組內(nèi)配置源IP地址和目標(biāo)IP地址，實(shí)現(xiàn)不同交換機(jī)、不同賬號(hào)間的網(wǎng)絡(luò)隔離。